Der 50. Tätigkeitsbericht zum Datenschutz erfasst die Entwicklungen in 2021. Zu diesem sagt der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Prof. Dr. Alexander Roßnagel zusammenfassend: „Im Berichtszeitraum waren in Hessen keine schwerwiegenden Verstöße festzustellen – ganz im Gegensatz zur Entwicklung in Deutschland und der Welt.“ Roßnagel führt weiter aus: „In Hessen wurde der Datenschutz weitgehend akzeptiert und nicht grundsätzlich in Frage gestellt.“ Dennoch sind in vielen Bereichen die Anforderungen der Datenschutz-Grundverordnung (DS-GVO) noch immer nicht ausreichend umgesetzt, führen zu Beschwerden, erfordern das Eingreifen der Datenschutzaufsicht sowie Anordnungen und Durchsetzungsmaßnahmen im Einzelfall.
Im vierten Jahr seit dem Geltungsbeginn der europäischen DS-GVO sind viele Unsicherheiten, die der abstrakte Rechtsrahmen für die Praxis des Datenschutzes gebracht hat, inzwischen überwunden – wie z.B. zum Datenschutz in Vereinen oder zu Rechten der betroffenen Personen. Die Zahl der Beschwerden ist sehr hoch, scheint sich aber gegenüber dem Vorjahr auf diesem hohen Niveau zu stabilisieren. Inzwischen treten jedoch komplexere Fragen, die mit größeren technischen Systemen und neuen Geschäftsmodellen zu tun haben, in den Vordergrund und prägen die Aufsichtstätigkeit – wie z.B. Beratungen zur Digitalisierung von Verwaltungen und Unternehmen. Um die Hälfte zugenommen haben Meldungen über Cyberangriffe, Ausnutzungen von Softwareschwachstellen und Datenpannen von 1.433 im Jahr 2020 auf 2016 im Jahr 2021. Deutlich angestiegen sind auch die Bußgeldbescheide von 2 im Jahr 2020 auf 29 im Jahr 2021 und die Gerichtsverfahren um Entscheidungen des HBDI von 25 auf 34.
Die Rahmenbedingungen für die Aufsichtstätigkeit des HBDI sind zunehmend durch die Europäische Datenschutzinfrastruktur geprägt, von der sie ein Teil ist. Der Europäische Datenschutzausschuss (EDSA) hat Tritt gefasst und viele Streitfragen in grenzüberschreitenden Einzelfragen entschieden sowie hilfreiche Klarstellungen in Form von Empfehlungen, Leitlinien und Stellungnahmen gegeben. Da vorwiegend in Brüssel entschieden wird, wie die abstrakten Vorschriften der Datenschutz-Grundverordnung im Praxisvollzug zu verstehen sind, bringt sich der HBDI verstärkt aktiv in die Arbeit des EDSA und seiner Arbeitskreise ein. Die DS-GVO setzt in grenzüberschreitenden Aufsichtsverfahren ein intensives Zusammenwirken zwischen den Aufsichtsbehörden der Mitgliedstaaten voraus. Diese Verfahren der Zusammenarbeit haben von 812 im Jahr 2020 auf 1419 im Jahr 2021 zugenommen. Da auch in diesen Verfahren entschieden wird, wer Einfluss auf das künftige Verständnis des Datenschutzes in der Europäischen Union hat, ist eine intensive Beteiligung notwendig.
Einzelthemen
Corona-Pandemie und Datenschutz
Auch in diesem Berichtsjahr prägte die Corona-Pandemie die Aufsichtstätigkeit. Die Maßnahmen zur Bekämpfung der Pandemie und die sich immer wieder schnell ändernden Rechtsregelungen sorgten für immer neue Aufsichtsaufgaben. Beispiele waren die Datenverarbeitungen bei der Organisation von Impfterminen, im Rahmen von Testverfahren, bei der Kontaktnachverfolgung, bei der Aufrechterhaltung der Funktionen von Kindertagesstätten, Schulen und Hochschulen und der Verarbeitung von Daten des Krankheits- und Immunitätsstatus in Arbeitsverhältnissen. Für die Bekämpfung der Pandemie hat der HBDI akzeptiert, dass der Datenschutz eingeschränkt wurde – z.B. bei der Erfassung von Restaurantbesuchen oder der Verarbeitung von Gesundheitsdaten von Beschäftigten. Zu weitgehende Grundrechtseinschränkungen hat der HBDI jedoch moniert – z.B. die Einschränkung von Betroffenenrechten in einer der Corona-Schutz-Verordnungen, die dann auch beseitigt wurde. Insgesamt kommt der HBDI zu dem Fazit, dass der Datenschutz im Berichtszeitraum eine wirksame Unterstützung in der Pandemie war, weil er für das Vertrauen in die staatliche Corona-Politik und die einzelnen Maßnahmen staatlicher Stellen eine wichtige Voraussetzung war.
Videokonferenzsysteme
Eine weitere Herausforderung bestand darin, die nicht datenschutzkonformen Zustände, die zu Beginn der Pandemie akzeptiert worden waren, an die datenschutzrechtlichen Anforderungen anzupassen. So wurden z.B. Videokonferenzsystemen (VKS) eingesetzt, die in rechtswidriger Weise personenbezogene Daten in die USA übertragen. Für diese wurden konstruktive Korrekturen gesucht und die für die Umstellung notwendige Zeit eingeräumt. Für die Hochschulen konnten nach Beratung durch den HBDI durch technisch-organisatorische Gestaltung der VKS oder durch Umstieg auf andere Systeme datenschutzgerechte Lösungen gefunden werden. Den Schulen wurde die Zeit eingeräumt, die sie brauchen, um auf ein landesweites, einheitliches und datenschutzkonformes VKS zu wechseln. Die Einführung dieses VKS hat sich durch Probleme in der Ausschreibung leider verzögert.
Digitalisierung der Arbeit und digitale Instrumente der Mitarbeiterüberwachung
Die Digitalisierung der Arbeit ermöglicht, Beschäftigte immer intensiver hinsichtlich ihrer Leistung und ihres Verhaltens zu überwachen. Es ist jedoch keinesfalls zulässig, alle Beschäftigten unter Generalverdacht zu stellen und von vornherein präventiv zu überwachen. Auch der bloße Verdacht, dass Beschäftigte im Home-Office private Angelegenheiten erledigen, reicht nicht für eine lückenlose Überwachung. Ebenfalls nicht ausreichend ist beim GPS-Tracking in der Logistikbranche das Argument der Fahrzeugsicherheit, der Störungsbehebung oder Effizienzsteigerung.
Zunehmende Cyberkriminalität
Die Zunahme von Cyberkriminalität durch Phishing und andere Formen des Social Engineering führt verstärkt zu Angriffen auf IT-Systeme. Auch kam es vermehrt zu Angriffen unter Ausnutzung von bekannt gewordenen Schwachstellen in bestimmten Softwaresystemen. Um die Verantwortlichen zu erpressen, verschlüsseln die Angreifer die Daten eines Unternehmens oder einer Behörde und bieten die Schlüssel zum Entschlüsseln gegen hohe Geldsummen an. Sie veröffentlichen einen Teil der abgezogenen Daten im Darknet und drohen mit der Veröffentlichung aller Daten. Solche Angriffe müssen dem HBDI gemeldet werden, der prüft und berät, welche Maßnahmen zur Schadensbegrenzung zu ergreifen sind und wie Wiederholungen erfolgreicher Angriffe verhindert werden können. Diese Formen von Cyberkriminalität erfordern stärkere Vorsorgemaßnahmen, schnelle Reaktionen auf bekanntgewordene Schwachstellen und die wiederholte Aufklärung aller Beschäftigten über die Angriffsmöglichkeiten sowie die Maßnahmen, ihnen zu entgehen
Cookies
Im Internet ist der Einsatz von Cookies vielfach notwendig, um Nutzende wiederzuerkennen und ihnen die gewünschten Leistungen zu erbringen. Häufig werden Cookies auch dazu genutzt, aus dem Surfverhalten der Nutzenden Präferenzen, Interessen, Verhaltensweisen, Gewohnheiten und Beziehungen zu erkennen und daraus detaillierte Profile über sie zu erstellen, die es erleichtern, sie durch Werbung zu beeinflussen. Diese Profile können auch sensible Daten z. B zur Gesundheit oder der sexuellen Orientierung enthalten. Das zum 1. Dezember 2021 in Kraft getretene Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) hat diese Praxis eingeschränkt und sie noch stärker an eine Einwilligung des Nutzenden gebunden. Diese wird auch künftig in Cookie-Bannern eingeholt. Dies sichert die Selbstbestimmung der Nutzenden, wirkt im Alltag jedoch nervig. Viele Anbieter von Webseiten und Apps müssen jetzt aber ihre Praxis ändern. Dies zu überprüfen, wird eine weitere Aufgabe des HBDI sein.
Videoüberwachung
Im Berichtsjahr hat der HBDI intensiv bei der Konzipierung und Neuausrichtung von Videoüberwachungsanlagen aus dem Bereich der Hessischen Polizei- und Gefahrenabwehrbehörden geprüft und beraten. Voraussetzungen sind unter anderem eine Kriminalitätsanalyse für den Bereich, an dem die Videoüberwachung beabsichtigt ist. Zu beachten ist zudem, dass bei der Videoüberwachung die erforderlichen Privatzonenausblendungen vorgenommen werden, damit z.B. Wohnräume, Innenräume oder der Außenbereich von Restaurants nicht miterfasst werden. Auch die private Nutzung von Videoüberwachungsanlagen ist nur eingeschränkt zulässig und darf öffentliche Flächen oder das Grundstück von Nachbarn nicht erfassen. In beiden Fällen hat die Kontrolle des HBDI dazu geführt, dass etliche Videokameras entfernt werden mussten.
Informationsfreiheit
Im Berichtsjahr war ein zunehmendes Interesse an der seit vier Jahren bestehenden Informationsfreiheit in Hessen zu verzeichnen. Im Gegensatz zu anderen Bundesländern und dem Bund gilt diese Informationsfreiheit nur in der Landesverwaltung und in den Gemeinden und Landkreisen, die sie durch Satzung übernommen haben. Da dies immer noch nur eine Minderheit getan hat, gilt die Informationsfreiheit in Hessen praktisch nur eingeschränkt. Dennoch hat die Zahl der Beschwerden zugenommen. Der HBDI hat sich in der Konferenz der Informationsfreiheitsbeauftragten an der rechtpolitischen Fortentwicklung der Informationsfreiheit beteiligt.
Mit dem Tätigkeitsbericht über das Jahr 2021 legt der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Alexander Roßnagel seinen ersten von ihm verantworteten Tätigkeitsbericht vor. Nach Art. 59 DSGVO und § 89 Abs. 4 HDSIG ist er verpflichtet, jedes Jahr einen Bericht über seine Tätigkeit zu erstellen.